1. По поводу SSL. Запомните, если трафик идет через https, это трафик зашифрованный, шифруеться он вэб приложением и за его границей никто не сможет узнать что там передаёться, только ИП адреса источник/назначение и всё! Дальше идут кракозябры, если снимать дамп снифером. Ключ шифрования храниться в хранилище. Чтобы модифицировать или просто читать https-трафик, вам нужно тоолько одно - его расшифровать, прочитать/модифицировать и снова зашифровать, это можно сделать только перехватив процедуру рукопожатия в самом интернет-приложении, в данном случае браузере, то есть внедриться в браузер.

С самоподписным сертификатом, нуу это может и возможно для очень простого случая, только браузер всё равно предупредит пользователя и с сайтами на который нет у пользователя ключа шифрования.

Как только пользователь зайдет до вас на сайт с https у него появиться ключ шифрования и последующие запросы он будет посылать зашифрованными.

Сертификат это не сертификат там качества или сертификат МБА. Когда говорите про SSL слово сертификат заменяйте в голове словами: "ключ шифрования" и будет ясность